- •Курсова робота
- •Тема: «Побудова системи менеджменту інформаційної безпеки»
- •Завдання
- •Перший етап. Управлінський
- •Розподілити відповідальність за сміб
- •Другий етап. Організаційний.
- •Наказ № 12.23
- •Наказую
- •Визначити область діїСміб
- •Третій етап. Першочерговий аналіз сміб
- •Провести аналіз існуючої сміб
- •Визначити перелік робіт по допрацюванню існуючої сміб
- •Четвертий етап. Визначення політики і цілей сміб
- •Визначити політику сміб
- •ВизначитиціліСміб по кожному процесу сміб
- •П'ятий етап. Порівняння поточної ситуації зі стандартом
- •Провести навчання відповідальних за сміб за вимогам стандарту
- •5.2 Управління трудовими ресурсами
- •5.2.1 Забезпечення кадрами
- •Опрацювати вимоги стандарту
- •4.1 Загальні вимоги
- •4.2 Створення та менеджмент сміб
- •4.2.1 Створення сміб
- •Порівняти вимоги стандарту з існуючим станом справ
- •Шостий етап. Планування і впровадження сміб
- •Визначити перелік заходів для досягнення вимог стандарту
- •Розробитипосібник зінформаційноїбезпеки
- •Визначити відповідальних за активи
- •Восьмийетап.Розробка документації сміб
- •Визначити перелік документів(процедур, записів, інструкцій) для розробки
- •Розробка процедур та інших документів
- •Розробка і впровадження в дію документів сміб
- •4.3 Вимоги забезпечення документацією
- •4.3.1 Загальних положень
- •4.3.3 Контроль записів
- •Дев’ятий етап. Навчання персоналу
- •Навчання керівників підрозділів вимогам іб
- •Навчання всього персоналу вимогам іб
- •Одинадцатий етап. Внутрішній аудит сміб
- •Підбір команди внутрішнього аудиту сміб
- •Планування внутрішнього аудиту сміб
- •Проведеннявнутрішнього аудитуСміб
- •7.3 Вихідних даних перевірок
- •Тринадцятий етап. Офіційнийзапуск сміб
- •Наказ про введення в дію сміб
- •Чотирнадцятийетап.Сповіщення зацікавлених сторін
- •Інформування клієнтів, партнерів, змі про запуск сміб
- •Висновок
- •Список використаної літератури
Четвертий етап. Визначення політики і цілей сміб
Визначити політику сміб
Політика СМІБ включає декілька основних пунктів:
1. Виконання політики безпеки основане на пошуку і коригуванні слабких місць в системі ІБ.
Керівництво повинно:
• Розробляти політики СМІБ
• Встановлювати цілі та плани
• Розподіляти відповідальність в області ІБ
• Доводити до відома всіх співробітників
• Забезпечувати ресурсами
• Приймати рішення про прийнятні рівні ризиків
• Забезпечувати проведення внутрішніх аудитів
• Проводити аналіз СМІБ
Стандарт ISO / IEC 27001. Пункт 5.1
2. Якщо розглядати політику безпеки для існуючих бізнес-процесів, то її основним завданням є виявлення загроз і вразливостей безпеки для існуючих бізнес-процесів.
Організація повинна ідентифікувати ризики:
• Ідентифікувати активи
• Ідентифікувати загрози цим активам
• Ідентифікувати вразливості, які можуть бути використані цими погрозами
• Визначити вплив, який може привести до втрати конфіденційності, цілісності та доступності ресурсів.
Стандарт ISO / IEC 27001. Пункт 4.2.1 г)
РИЗИК = Вартість активу * Імовірність реалізації загрози
3. Політика безпеки фірми з розрахунку ризиків і прийняття рішень на основі бізнес-цілей сформована певними діями організації.
Організація повинна проаналізувати і оцінити ризики:
• Оцінити збиток бізнесу
• Оцінити ймовірність виникнення порушення
• Оцінити рівні ризиків
• Визначити, чи є ризик прийнятним або потрібна обробка ризику з використанням критеріїв прийняття ризику
Стандарт ISO / IEC 27001. Пункт 4.2.1 д)
4. Важливим аспектом політики безпеки фірми є ефективне управління підприємством в критичній ситуації.
Організація повинна управляти безперервністю бізнесу:
• Визначити та впровадити процеси для безперервності бізнесу
• Ідентифікувати події, які можуть привести до порушень бізнес-процесів, визначити можливості і ступеня впливу
• Розробити плани відновлення
• Визначити пріоритети планів для їхнього тестування та підтримки
• Тестувати і регулярно оновлювати плани
Стандарт ISO / IEC 27001. Обов'язковий додаток А.
Вимога А.14
ВизначитиціліСміб по кожному процесу сміб
Етап 1. Визначення області дії СМІБ
Ціль: чітко визначити основні галузі дії СМІБ для конкретної фірми
Етап 2: Ідентифікація інформаційних активів
Ціль: встановлення основних активів фірми та ідентифікація інформаційних активів
Етап 3: Визначення вартості інформаційних активів
Ціль : складання плану-розцінки інформаційних активів
Етап 4: Ідентифікація ризиків
Ціль:ідентифікація ризиків
Етап 5: Розробка політики ІБ
Ціль: визначення рівня забезпечення та визначення політик
Етап 6: Ідентифікація цілей і механізмів контролю
Ціль: ідентифікація механізмів контролю
Етап 7: Ідентифікація політик, стандартів і процедур; Впровадження механізмів контролю
Ціль: визначення політик,стандартів і процедур для впровадження механізмів контролю
Етап 8: Розробка та впровадження політик, стандартів і процедур
Ціль: розробка плану навчання і розробка плану забезпечення безперервності бізнесу
Етап 9: Завершення впровадження СМІБ; Вимоги до документації
Ціль: документування СМІБ
Етап 10: Аналіз СМІБ; Аналіз процесу впровадження; Структура документації СМІБ